Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

O IRC-Worm.Evion Evion é um worm do IRC que se espalha através dos canais do IRC. O vírus está escrito em Visual Basic Script (VBS). Ele sobrescreve arquivos .vbs e .html em todas as unidades locais e mapeadas.

Instalando:
Quando o worm é executado, ele faz o seguinte:

Evion cria cópias de si mesmo no diretório raiz do disco C: no arquivo "Win32 Strt.exe.vbs" e no arquivo de diretório do sistema "BootLoader.exe.vbs", bem como no diretório raiz do Windows nos arquivos "Piadas" .htm "e" Winupdate.exe "

O Evion sobrescreve esses arquivos existentes com cópias de si mesmo:


 % Windir% Readme.htm
 % Windir% Htmlhelp.htm
 % System% Winhelp32.exe
 % Mirc% script.ini

O Evion registra os arquivos "BootLoader.exe.vbs" e "Win32 Strt.EXE" na seqüência de lançamento automático do registro do sistema:

 HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs)
 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE)

Espalhando
O Evion pesquisa todos os arquivos .vbs e sobrescreve os arquivos .vbs existentes com cópias de si mesmo. Os arquivos que possuem as extensões .htm, .html, .asp, .htx e .hta são substituídos pela versão .HTML do worm.

O arquivo "Script.ini" é um programa mIRC curto que envia o arquivo % Windir% Jokes.htm para todos que entram em um canal infectado.

Carga útil
O worm ativa sua carga útil em três dias diferentes (15 de outubro, 23 de novembro e 25 de dezembro) e exibe uma caixa de mensagem com os seguintes textos:


com o título da caixa de mensagens "my b-day" e o texto "happy birthday kefi" - 15 de outubro
com o título da caixa de mensagem "11/23!" e texto "santo sh * t! é 11/23" - 23 de novembro
com o título da caixa de mensagem "kefi [rRlf]" e o texto "Religião organizada controla o mundo" - 25 de dezembro

Nesses dias de ativação da carga útil, o worm também cria 16 arquivos de texto na pasta Startup do Windows. O nome do arquivo usa o formato: StartupEvion (n) .txt, onde n está entre 0 e 15 (inclusive). Esses arquivos contêm 50 cadeias de texto de texto gerado aleatoriamente que é selecionado a partir dessas três linhas:

Você fez e se infectou com o Vbs.Evion por kefi [rRlf] [rRlf] O ownz joo bitch Catfish_VX é lamers. Este vírus foi construído para eles roubarem

Em dias diferentes daqueles em que a carga útil é executada, um documento de texto é criado no diretório Windows Desktop. O nome do arquivo usa o formato "Desktop% day% -% month% .vir.txt".

Esses arquivos contêm o seguinte texto:

 hoje você não experimentou a carga útil do Vbs.Evion
 desculpa..
 kefi [rRlf]

Link para o original

Descubra as estatísticas das ameaças que se espalham em sua região

Classe	IRC-Worm
Plataforma	VBS
Descrição	Detalhes técnicos O IRC-Worm.Evion Evion é um worm do IRC que se espalha através dos canais do IRC. O vírus está escrito em Visual Basic Script (VBS). Ele sobrescreve arquivos .vbs e .html em todas as unidades locais e mapeadas. Instalando: Quando o worm é executado, ele faz o seguinte: Evion cria cópias de si mesmo no diretório raiz do disco C: no arquivo "Win32 Strt.exe.vbs" e no arquivo de diretório do sistema "BootLoader.exe.vbs", bem como no diretório raiz do Windows nos arquivos "Piadas" .htm "e" Winupdate.exe " O Evion sobrescreve esses arquivos existentes com cópias de si mesmo: % Windir% Readme.htm % Windir% Htmlhelp.htm % System% Winhelp32.exe % Mirc% script.ini O Evion registra os arquivos "BootLoader.exe.vbs" e "Win32 Strt.EXE" na seqüência de lançamento automático do registro do sistema: HKEY_LOCAL_MACHINEMicrosoftWindowsCurrentVersionRun - (BootLoader.exe.vbs) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices - (Win32 Strt.EXE) Espalhando O Evion pesquisa todos os arquivos .vbs e sobrescreve os arquivos .vbs existentes com cópias de si mesmo. Os arquivos que possuem as extensões .htm, .html, .asp, .htx e .hta são substituídos pela versão .HTML do worm. O arquivo "Script.ini" é um programa mIRC curto que envia o arquivo % Windir% Jokes.htm para todos que entram em um canal infectado. Carga útil O worm ativa sua carga útil em três dias diferentes (15 de outubro, 23 de novembro e 25 de dezembro) e exibe uma caixa de mensagem com os seguintes textos: com o título da caixa de mensagens "my b-day" e o texto "happy birthday kefi" - 15 de outubro com o título da caixa de mensagem "11/23!" e texto "santo sh * t! é 11/23" - 23 de novembro com o título da caixa de mensagem "kefi [rRlf]" e o texto "Religião organizada controla o mundo" - 25 de dezembro Nesses dias de ativação da carga útil, o worm também cria 16 arquivos de texto na pasta Startup do Windows. O nome do arquivo usa o formato: StartupEvion (n) .txt, onde n está entre 0 e 15 (inclusive). Esses arquivos contêm 50 cadeias de texto de texto gerado aleatoriamente que é selecionado a partir dessas três linhas: Você fez e se infectou com o Vbs.Evion por kefi [rRlf] [rRlf] O ownz joo bitch Catfish_VX é lamers. Este vírus foi construído para eles roubarem Em dias diferentes daqueles em que a carga útil é executada, um documento de texto é criado no diretório Windows Desktop. O nome do arquivo usa o formato "Desktop% day% -% month% .vir.txt". Esses arquivos contêm o seguinte texto: hoje você não experimentou a carga útil do Vbs.Evion desculpa.. kefi [rRlf]
	Link para o original
	Descubra as estatísticas das ameaças que se espalham em sua região

IRC-Worm.VBS.Evion

Detalhes técnicos